XXXX
邮件安全网关系统解决方案
Surfront
Copyright?2008
目录
一、方案概述3
1.产品清单3
2.系统连接图3
3.预期效果4
二、厂商和产品介绍5
1.公司介绍5
2.产品功能5
3.产品应用6
4.产品资质6
三、客户需求分析7
四、解决方案描述9
1.设备描述9
2.系统安装部署10
3.方案优势分析11
4.预期效果分析12
五、成功案例12附件一:产品技术介绍13
1.系统模块构成13
2.系统管理、维护、备份建议18
3.产品功能列表18
一、方案概述
1.产品清单
备注:标准服务包括产品软件版本升级、反垃圾邮件特征库更新订阅、5x8 电话和远程技术支持。
2.系统连接图
eSurf Mail Filter
系统连接示意图
建议使用串联方式安装部署e Surf Mail Filter,按照以下两个步骤分步实施安全方案:
●第一阶段,不修改目前系统配置的情况下,在两台EQManager在线的
情况下,在Sun iPlanet邮件服务器前面串接e Surf Mail Filter,过滤来
自前面两台EQManager的邮件。
●第二阶段,在系统稳定运行一周后,去掉2台EQManager,由e Surf
Mail Filter单独过滤垃圾邮件。
说明:e Surf Mail Filter带有bypass功能,在系统软硬件发生故障时,自动将线路转换为透明网桥模式,所有邮件流量直接桥接到邮件服务器上,保证电子邮件正常的收发。
3.预期效果
二、厂商和产品介绍
1.公司介绍
思朗特公司(Surfront, Inc)成立于2005年,是一家总部位于北京的高科技公司。立足中国,为企业及电信客户提供技术领先的互联网内容安全产品和专业服务,是公司成立以来始终不变的目标。
公司先后成功开发出领先的邮件安全网关(e Surf Mail Filter)和互联网内容过滤产品(e Surf Content Manager),并在国内多个政府机关、大中型企业和电信运营商中得到成功实施和应用。
经过业内专家精心设计的邮件安全网关,在产品功能完整性、产品性能、垃圾邮件和病毒过滤效果等方面,在中国处于首屈一指的地位。
公司在国内运营商行业获得了广泛的认可,客户包括网通(青海网通、江苏网通等),电信(浙江电信、厦门电信、宁夏电信等),移动(安徽移动等),联通(上海联通,黑龙江联通等)。在北京本地的客户有北京日报,北大附中,中国数码,新网互联,中企动力,新晨科技,船舶重工,KDDI株式会社等多家知名企业、政府和院校。
由于对市场需求的深入调查和透彻理解,思朗特将致力于将业务延伸至世界的每一个角落。
2.产品功能
e Sur
f Mail Filter将安全、可扩展的硬件平台和高效、准确的电子邮件安全应用软件结合在一起,是业界最强的电子邮件安全硬件平台。
e Sur
f Mail Filter基于业界最坚固的操作系统内核之一,具有先进的技术架构、闪电般的性能和最大的可靠运行时间,使之有能力高效、灵活、准确的处理进出用户网络的所有电子邮件。
快:在数分钟内,用户就可以打开包装箱,把eSurf Mail Filter安装到19英寸标准机架上,完成配置并启动保护,采用优化后的流扫描技术,真正的实现无队列,无延时处理,不用担心邮件被积压在网关上。
准:e Surf Mail Filter提供了当今市场上最强的邮件安全保护。它拦截垃圾邮件、病毒邮件、网络钓鱼攻击、潜在危险等任何一种可能危害企业信息系统的电子邮件:垃圾邮件过滤准确率高于99.5%,误判率低于0.0001%,识别病毒高达16万种并保持7x24更新,还深入邮件正文和附件内容进行关键字匹配扫描。
稳:e Surf Mail Filter提供加固的操作系统内核+健壮的MTA架构+服务器集群方案,提供了超强的备份、容错和负载均衡解决方案。e Surf Mail Filter系统可用性达到99.999%,完全满足最严格的电信级设备要求。Surfront 365x7x24的全天候技术支持服务让客户无比放心!
3.产品应用
e Sur
f Mail Filter广泛应用于各个行业领域的电子邮件系统,实施规模从数百人的中小企业到百万用户的电信级邮件运营商,在全国各主要地区和城市均有成功案例。e Surf Mail Filter的维护责任部门一般为企业的IT/网管/信息安全部门,政府的信息办公室/科技处,学校的网管中心,运营商的运维部门等。e Surf Mail Filter的成功应用可以有效的提高企业员工生产效率,降低IT人员的工作量,增加邮件系统的安全性,保护邮件用户不受病毒、垃圾、钓鱼邮件的骚扰,减少邮件服务供应商的客户投诉,提高客户满意度,并保护了已有邮件系统设备的投资。
4.产品资质
e Sur
f Mail Filter已经通过了中华人民共和国公安部计算机的检验,并同时取得了公安部颁发的计算机信息系统安全专用产品销售许可证(XKC30987)。
三、客户需求分析
垃圾邮件象爆发的洪水正在侵袭互联网。在全球范围统计,垃圾电子邮件近年来一直在不断地增长。2001年垃圾邮件仅占电邮总量的7%,到2002年即达到29%,截至今年中期则已超过了51%,垃圾邮件的数量已超过合法电子邮件的数量。据中国互联网协会和CNNIC联合组织,最新发布的《中国互联网发展报告》显示,我国网民在今年7月份每周收到正常电子邮件为7.2封,垃圾邮件数却达到8.9封。
根据中国互联网协会反垃圾邮件规范的定义,垃圾邮件指包含以下属性的电子邮件:
●收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式
的宣传品等宣传性的电子邮件;
●收件人无法拒收的电子邮件;
●隐藏发件人身份、地址、标题等信息的电子邮件;
●含有虚假的信息源、发件人、路由等信息的电子邮件。
垃圾邮件具有严重的危害,对个人用户、邮件服务提供商和社会都造成极
坏的影响。垃圾邮件具有的特点和危害有以下几点:
●大批量:同一个用户邮箱中重复收到大量相同邮件;
●无目的:完全无视收信人的兴趣和需求(似乎有人认为互联网上的所
有人都喜欢色情图片和发送垃圾邮件的程序);
●浪费收信人的金钱:现实中很多用户仍然使用电话拨号上网,他们将
为接收垃圾邮件向ISP支付大量金钱;
●浪费ISP的金钱:假设一封10K字节的垃圾邮件发送给同一个ISP的
10000个用户邮箱(“泛滥”),意味着ISP需要额外的100M硬盘存储
空间。目前市场上典型的36G容量的SCSI硬盘,只可以应付类似的360
次“泛滥”,而且永远不可能预见此类“泛滥”;
●绝大多数垃圾邮件的发送者是不诚实的:他们使用虚假的回信地址和
身份,精心伪造邮件主题和内容使它们看起来更象正常邮件,告诉收
信人“这是你要的资料”、“上次的照片”等等。通常,垃圾邮件发送者会
无视诚实和道德,使用一切手段吸引更多的收信人阅读他们的邮件。
实际上有些垃圾邮件的发送程序以伪造虚假信息来欺骗并躲过ISP的
反垃圾邮件措施,它们的编制者并以此为荣。
大多数情况下收信人回复的抗议邮件没有任何用处,反而发现他们将
被列入更多的垃圾邮件发送名单。
●利用第三方主机作为中继转发垃圾邮件:这种未经许可窃取服务的盗
窃行为在大多数国家都是违法的。在美国已经有案例,垃圾邮件发送
者为他们的盗窃行为而坐牢。但是,中国的垃圾邮件发送者可能利用
远在英国的主机转发垃圾邮件,收信人仍然是中国的邮件用户。这种
转发手段使得司法调查取证更加困难。
根据ICSA对于1999年计算机病毒传播媒介的统计报告显示,电子邮件已经成为最重要的计算机病毒传播途径。2004年,利用电子邮件传播的计算机病毒十分活跃,一季度国内较为流行的计算机病毒主要是利用电子邮件进行传播。如何在高效率使用IT系统的同时保持系统数据的安全,是当前电子邮件服务必须解决的问题。目前可以应用的方案有三个:网关层面杀毒,邮件服务器上使用杀毒引擎,个人电脑上防毒。最安全也是最好的方式是网关杀毒+电脑防毒,这样避免在邮件服务器上执行耗费资源且不稳定的杀毒引擎。
另外,电子邮件系统是一条非常重要信息流动的渠道,无数的资源(文字、图形图像、音频、视频)不间断的、无声无息的流进流出。一个机关、一栋大楼的大门和通道需要门卫和保安,检查每一个进出的人和携带的物品。电子邮件系统一样需要门卫和保安,检查每一封流进流出的电子邮件,是否包含机密信息和有害信息。
四、解决方案描述
1.设备描述
说明:Surfront保留随时自行决定更改、修改、更新或删除部分产品型号配置的权利,恕不另行通知。
场地及环境准备要求
环境温度:10℃~35℃
相对湿度:40%~80% (非压缩)
电源要求:100-240V/47-63Hz 交流, 4A
所有设备通过电缆接地。
2.系统安装部署
我们建议使用串联方式安装部署e Surf Mail Filter,按照两个步骤实施安全方案。
第一阶段
鉴于尽量不修改当前系统设置和安全的原则,第一阶段为测试阶段,考虑在邮件服务器的前面串接一台e Surf Mail Filter M5000,采用透明方式部署对进出Sun iPlanet的邮件进行过滤。在e Surf Mail Filter系统里,客户需要提供一个和邮件服务器同网段的IP地址以配置网络透明桥。网络拓扑图如下:
eSurf Mail Filter
第一阶段系统连接示意图
鉴于经过e Surf Mail Filter邮件大部分来自EQManager,因此测试中关闭实时黑名单以及SPF的功能,因为该功能检查邮件发件人以及发件人IP的对应关系,其他功能根据客户的需要可以现场设置。
第二阶段
在系统稳定运行7天后,在客户满意的情况下,将2台旧的EQManager下线,将DNS MX纪录改回到邮件服务器或者将e Surf Mail Filter设置成EQManager网关的IP,网络拓扑图如下:
eSurf Mail Filter
第二阶段系统连接示意图
3.方案优势分析
?适用性:拥有基于行为识别、全文内容扫描、数字指纹和语义规则技术的垃圾邮件过滤引擎,垃圾邮件特征库实时升级,最高可过滤99.5%的
垃圾邮件和钓鱼邮件;内嵌反病毒扫描引擎,拦截100%已知病毒邮件。
?安全性:该产品具备公安部销售许可, 具有良好部署成功经验。
?兼容性:该产品支持标准SMTP协议和多种LDAP协议,与现有邮件系统完全兼容。
?扩展性:该方案可扩充至百万用户以上。
?成熟性:具有50万以上用户大型运营商及大型企事业反垃圾邮件产品的成功案例(可提供用户证明)。
?高速性:产品具备高速处理能力,具有权威的第三方评测报告。
?可靠性:产品采用流扫描技术,无队列积压无延时,主板网口带bypass 功能,支持集群部署,无单点故障。
?本地化:优秀的本地研发和技术支持队伍。
4.预期效果分析
五、成功案例
e Sur
f Mail Filter已在多家政府单位、企业、学校得到应用,部分名单如下(最新清单请参见公司网站):
安徽移动上海联通浙江电信青海网通
中国数码北京日报KDDI株式会社北大附中
太太药业海洋局广州有线广发证券
客户评价
“Surfront的邮件网关最吸引我们的是其功能完善,菜单清晰,使用方便;对中文邮件的过滤效果比较好。病毒库和垃圾规则库的升级及时。”
“Surfront邮件网关完全达到了我们项目设计的要求,帮助我们解决了病毒长期困扰公司员工,垃圾邮件严重影响了工作效率的问题。”
国脉科技股份有限公司庄家扬
“Surfront邮件网关帮助我们解决了垃圾邮件的问题,在产品性能、可靠性和技术支持方面都比较满意。”
中国数码运营中心技术总监李俐明附件一:产品技术介绍
1.系统模块构成
Surfront OS
Surfront OS是Surfront开发用于运行e Surf Mail Filter邮件过滤应用软件的专用安全操作系统,包含了优化、加固的Linux内核和简单易用的Web管理界面等增强特性,安全性和性能都远远高于通用的Linux平台。
eSurf Mail Filter架构
在转发模式下,e Surf Mail Filter直接将电子邮件写入裸磁盘,完全绕过操作系统的文件系统。e Surf Mail Filter使用数据库管理磁盘存储和分配可用空间。
在透明代理和代理模式下,e Surf Mail Filter采用创新的流模式内容扫描技术,线速扫描电子邮件。
接收模块 - Receive Function
本模块负责管理e Surf Mail Filter接收的SMTP连接,并根据黑名单、RBL、反攻击设置等进行过滤检查。并通知规则模块 Rules Function对这封电子邮件进行流扫描。
规则模块 - Rules Function
规则模块根据过滤规则对邮件进行分析处理。如果一封邮件触发了某一条规则,规则模块将执行以下动作中的一种:
●投递
●删除
●隔离
投递 - Deliver
如果一封邮件没有触发任何规则,或者触发规则动作为投递,该邮件会被投递模块投送。
删除 - Drop
如果触发规则动作为删除,规则模块会通知接收模块该邮件已经被删除。
隔离 - Quarantine
如果触发规则动作为隔离,规则模块会通知存储模块存储。e Surf Mail Filter 有三种默认的隔离队列:
●Spam –存放反垃圾引擎拦截的垃圾邮件;
●Virus –存放反病毒拦截的病毒邮件;
●Quarantine–存放自定义规则拦截的邮件。
发送模块– Delivery Function
发送模块根据投递控制试图将邮件传递到下一跳,如果第一次传递失败,发送模块会更新数据库中该邮件的投递信息,等待重新发送。发送模块使用延时重发机制确保邮件的发送。
发送模块支持TLS对MTA之间的SMTP传输进行加密。TLS使用基于证书的身份认证、对称密钥加密(共享密钥加密)和HMAC防篡改编码,保证了邮件在传输过程中不会错传、泄密和篡改。eSurf Mail Filter可以将证书以cer格式导入和导出。
发送队列– Delivery Queue – DQ
e Sur
f Mail Filter将转发模式下发送的邮件保存在DQ中。
管理服务– Administrative Service
管理服务提供了对Web管理的审计功能。
个人垃圾邮件管理– End User Spam Management – EUSM
个人垃圾邮件管理允许用户自行查看和处理eSurf Mail Filter隔离的垃圾邮件,EUSM通过LDAP/ ESMTP验证个人用户的身份信息。
MySQL数据库
MySQL数据库保存统计信息以及隔离队列指针,数据库不保存邮件。LDAP目录服务器
LDAP是一种使用开放网络协议访问信息服务的开放式标准协议。LDAP使用树状层次结构保存信息。eSurf Mail Filter查询LDAP检查收件人地址的有效性,并为EUSM验证个人用户身份。
反垃圾邮件引擎
e Sur
f Mail Filter 的反垃圾邮件引擎专门针对中国市场集成了发件人策略框架、思朗特实时跟踪系统、行为识别、指纹识别、语义分析、词典扫描、启发式自学习等多项独创技术。并有专业的垃圾邮件库,可即时在线升级,也可定义自动以及手动定时升级。不断更新、增量的垃圾邮件库能提供强壮的垃圾邮件防范功能,在此基础上用户还能根据自身实际使用情况来订制垃圾邮件摘要,进一步细化。
发件人策略框架(SPF:Sender Policy Framework):用来对付伪造的发件人邮件地址。SPF根据发送者地址执行一个DNS查询,以确定发送者服务器是否允许这个地址发送邮件。
?拒绝来自没有 SPF 记录的发件人的邮件
?拒绝来自有 SPF 软故障的发件人的邮件
?拒绝来自 SPF 出错的发件人的邮件
思朗特实时跟踪系统:思朗特实时跟踪系统实时跟踪邮件包含的路径,并挖掘其路径是否指向垃圾、间谍、钓鱼站点。由于几乎所有的钓鱼攻击目前都是通过垃圾邮件进行的,因此,控制垃圾邮件可以大大降低遭受钓鱼攻击的危险。
?实时垃圾邮件跟踪
?实时间谍邮件跟踪
?实时钓鱼邮件跟踪
行为识别:通过实时观察发送垃圾邮件的行为,可以智能在线识别以下几种针对电子邮件系统的各种非正常发送邮件的行为:
?邮件滥发行为
?邮件非法行为
?邮件匿名行为
?邮件伪造行为
指纹识别:垃圾邮件发送者一般是大规模的发出同样的邮件,通常是在几天或一周之内发出数百万甚至数千万封邮件。指纹分析的方法和当前反病毒体系中病毒特征码的原理基本是一样的,从这些邮件中提取共同特有的特征,将这些特征收集整理成一个规模化的垃圾邮件特征库。指纹特征可以由邮件的以下几种部分提取:
?文本指纹
?图像指纹
?音频指纹
?视频指纹
?可执行指纹
?压缩指纹
启发式扫描:电子邮件通常具有几个重要特征,标准电子邮件地址(包括收发件人邮箱名、收发人邮箱服务器IP地址或域名)、主题、信件内容(包括正文、关键字、附件)等相关字段,启发式扫描根据这些特征分别赋予匹配规则的权值。并将结果综合和一个阈值比较,超过这个阈值就判断为垃圾邮件。
语义识别:系统预定义不同分类的词库,语义识别将扫描邮件是否包含不同分类词库定义的词,累加权值,超过一定阀值就判断为垃圾邮件。
词典扫描:类似语义识别,但管理员可以自定义词库,并设置词的权值。
自学习:使用Bayesian自动学习机制,会依据最新的大量邮件样本分析所得的结果, 调整垃圾邮件侦测策略,以防制新出现的垃圾邮件渗透方式。
反病毒引擎
e Sur
f Mail Filter系统的反病毒引擎对所有进出站的邮件进行病毒扫描。病毒引擎和特征库在线升级,升级可定义为自动升级,也可以手动升级。
反病毒引擎可以查杀邮件体中的script病毒、附件病毒、Word宏病毒。杀毒操作不需要额外的配置和管理,重要的是经常升级病毒库。按照功能配置,可选择对被病毒感染的文件进行杀毒、剥离附件、隔离、删除或转递等操作。
内容过滤引擎
e Sur
f Mail Filter允许用户自定义添加多种多个过滤规则,对进出站的邮件以及附件进行全面扫描。扫描内容包括邮件标题、邮件正文、附件中的关键字做匹配,e Surf Mail Filter对邮件内容采用Unicode处理机制,能很好过滤各种语言和编码,具有很高的容错性。
内容过滤规则有多个级别,可分为标准过滤规则,高级过滤规则。过滤方式包括多层匹配、包含匹配以及正则表达式匹配等模式,管理员可以通过此对信息进行过滤,然后选择相应的处理行为。
免责声明引擎 - Disclaimer
除了技术方面的安全保障之外,e Surf Mail Filter还提供法律方面的保护。自动分析判断邮件格式和编码,在不影响邮件格式的前提下在经过网关处理的邮件头部或尾部添加企业自定义的法律责任免除声明。
典型的免责声明如下:
The information in this email is confidential and may be legally privileged. It is intended solely for the addressee. Access to this email by anyone else is unauthorized. If you are not the intended recipient, any disclosure, copying, distribution or any action taken or omitted to be taken in reliance on it, is prohibited and may be unlawful. If you believe that you have received this email in error, please contact the sender.
本邮件及其附件含有公司的保密信息,仅限于发送给上面地址中列出的个人或群组。禁止任何其他人以任何形式使用(包括但不限于全部或部分地泄露、复制、或散发)本邮件中的信息。如果您错收了本邮件,请您立即电话或邮件通知发件人并删除本邮件!
2.系统管理、维护、备份建议
e Sur
f Mail Filter提供图形化管理界面,配置邮件过滤相关信息。
e Sur
f Mail Filter提供简体中文、繁体中文、英文等多种语言支持。
系统管理员通过浏览器访问https://ip地址/,内置管理员账号为administrator,缺省密码为admin。
Surfront强烈建议用户立即/定期更改缺省密码并牢记。
管理权限
Administrator是超级管理员,超级管理员还可以指定多种权限的多个普通管理员(系统设置/策略管理/统计与日志/隔离邮件/病毒邮件/垃圾邮件/归档邮件/延时邮件),将管理任务和风险下放。
备份和恢复
eSurf Mail Filter实施了定时备份,将所有系统配置信息保存成zip文件,并可以下载到本地,当设备故障时可以根据备份配置文件进行快速恢复。
3.产品功能列表
安全电子邮件解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子邮件起到越来越重要的作用。 然而,电子邮件作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子邮件方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子邮件带来很多安全隐患: 用户名和口令的弱点:传统的邮件系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。 信息的机密性:邮件内容包括很多商业或政府机密,必需保证邮件内容的机密性。然而,传统的邮件系统是以明文的方式在网络上进行流通,很容易被不怀好意的人非法窃听,造成损失;而且邮件是以明文的方式存放在邮件服务器中的,邮件管理员可以查看所有的邮件,根本没有任何对邮件机密性的保护。 信息的完整性:由于传统的邮件发送模式,使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改,使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。 信息的不可抵赖性:由于传统的邮件工作模式(用户名+口令、明文传输等),对邮件没有任何的保护措施,使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性,同时双方都可以否认对邮件的发送和接受,很难在出现事故的时候追查某一方的责任。 针对普通邮件存在的安全隐患,北京天威诚信电子商务服务有限公司(iTruschina)推出了基于PKI (Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供邮件证书服务,为电子邮件用户发放数字证书,邮件用户使用数字证书发送加密和签名邮件,来保证用户邮
虚拟化安全趋势杀毒 虚拟化安全可行性探讨 对于虚拟化系统的病毒问题,口前都是用物理机的解决方案进行,但是使用这样的解决方案存在很多的问题,具体如下: 1(在每个虚拟机上部署防病毒软件,这会更多的占用ESX Server的资源, 如:CPU、内存、I/O等内容,造成虚拟化密度低,造成投资; 2(如果全部的防病毒软件同时进行系统扫描,这样会形成“病毒风暴”把 ESX Server的资源全部吃满,其至造成宕机; 3(每个虚拟机上都部署防病毒软件,管理员就要对每个虚拟机进行登录管理、监控、维护,比如病毒码升级、软件故障处理等,会造成管理的复杂; 4(虚拟机存在使用和关闭两种情况,对于关闭的虚拟系统是不能够部署新 的病毒码的,但是这个虚拟机是和虚拟化平台底层可以通信的,所以很容易被利用造成破坏; 由于存在以上的众多问题,我们需要一为虚拟环境所打造的防病毒解决方案,此方案应该是只在每台物理服务器上安装一次,同时达到如下效果: (-)提升硬件服务器使用率 a)相同硬件能提高虚拟机密度 b)提高300,服务器使用率 (二)简化管理 a)以主机为单位的保护管理 b)一次性安装,部署 (三)自动继承的保护 a)虚拟镜像即装即防 b)即便裸机也能立即保护
这样的虚拟化解决方案才是理想的解决方案,其工作原理如下图: 其能够实现如下功能: (―)在访问扫描 文件打开/关闭触发杀毒引擎进行扫描提供对文件的扫描数据 (二)按需扫描 杀毒引擎发起 对所有客户档案系统进行扫描 (三)缓存和筛选 数据和结果的缓存,以减少数据流量和优化性能基于文件名、后缀名进行排除清单 (四)整治 删除,清除,阻断,隔离 基于VC报警系统对处理进行通告 VMware系统首推的解决方案为趋势科技的Deep Security,解决方案如下: 此产品的性能非常理想,我们通过第三方测试结果、在我们实际环境中的测试进行了验证,验证情况如下:
IT系统整体安全解决方案 2011-8
目录 一、信息系统安全的含义 (3) 二、信息系统涉及的内容 (4) 三、现有信息系统存在的突出问题 (6) 1、信息系统安全管理问题突出 (6) 2、缺乏信息化安全意识与对策 (7) 3、重安全技术,轻安全管理 (7) 4、系统管理意识淡薄 (7) 四、信息系统安全技术及规划 (8) 1、网络安全技术及规划 (8) (1)网络加密技术 (8) (2)防火墙技术、内外网隔离、网络安全域的隔离 (9) (3)网络地址转换技术 (10) (4)操作系统安全内核技术 (11) (5)身份验证技术 (11) (6)网络防病毒技术 (11) (7)网络安全检测技术 (13) (8)安全审计与监控技术 (13) (9)网络备份技术 (14) 2、信息安全技术及规划 (14) (1)鉴别技术 (14) (2)数据信息加密技术 (15) (3)数据完整性鉴别技术 (15) (4)防抵赖技术 (15) (5)数据存储安全技术 (16) (6)数据库安全技术 (16) (7)信息内容审计技术 (17) 五、信息系统安全管理 (17) 1、信息系统安全管理原则 (18) (1)、多人负责原则 (18) (2)、任期有限原则 (18) (3)、职责分离原则 (19) 2、信息系统安全管理的工作内容 (19)
一、信息系统安全的含义 信息系统安全包括两方面的含义,一是信息安全,二是网络安全,涉及到的试信息化过程中被保护信息系统的整体的安全,是信息系统体系性安全的综合。具体来说,信息安全指的是信息的保密性、完整性和可用性的保持;网络安全主要从通信网络层面考虑,指的是使信息的传输和网络的运行能够得到安全的保障,内部和外部的非法攻击得到有效的防范和遏制。 信息系统安全概括的讲,根据保护目标的要求和环境的状况,信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护,通信、访问等操作要得到有效保障和合理的控制,不受偶然的或者恶意攻击的原因而遭受到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不被中断。信息化安全的保障涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,涉及到安全体系的建设,安全风险的评估、控制、管理、策略指定、制度落实、监督审计、持续改进等方面的工作。 信息化安全与一般的安全范畴有许多不同的特点,信息化安全有其特殊性,首先,信息化安全使不能完全达到但有需要不断追求的状态,所谓的安全是相对比较而言的。其次,信息化安全是一个过程,
第 1 章趋势科技公司简介 趋势科技——网络安全软件及服务领域的全球领导者,几年前就以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流,现在又以独特的服务理念再次向业界证明了趋势科技的前瞻性和领导地位。总部位于日本东京和美国硅谷,目前在30个国家和地区设有分公司,员工总数超过2000人。趋势科技是一家高成长性的跨国信息安全软件公司。趋势科技分别在日本东京证券交易所和美国NASDAQ上市,并在2002年10月入选日经指数成分股,创造了日本证券史上的奇迹。 趋势科技在把创新思想成功转化为尖端科技方面享有盛誉,Gartner Group连续四年把趋势科技评定为最具创新能力的防毒管理供应商。IDC数据表明,趋势科技在全球服务器架构防毒解决方案居领导地位,在整体服务器防毒软件市场、群组防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。 趋势科技2002年在全球推出了里程碑式的企业安全防护战略-EPS(Enterprise Protection Strategy), 采取主动性的预防措施,在病毒爆发的初期通过中央控管系统及时部署预代码,并对病毒进行生命周期的管理,从而使用户得到最大限度的安全保证。趋势科技一向注重服务品质,其企业专属咨询服务—PSP(Premium Support Program)自从推出以来,就受到了众多国际性大企业的青睐。去年,趋势科技在PSP的基础上又提出了服务等级协议--SLA(Service Level Agreement),这又是一个伟大的创举,趋势科技做出了如果没有在规定时间内解决客户的问题将接受罚款的大胆承诺,这在整个防毒业界是唯一的。
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
趋势科技网络病毒墙 ( NVW ) 解决方案 I概述 如今的网络恶意攻击,诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防措施捉襟见肘。这些网络恶意攻击是危险的,因为它们在网络层传播,无法通过传统的病毒码文件方法来检测,且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序,但大多数公司通常都无法真正应用这些补丁,因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁,有时还会怀疑厂商提供的补丁是否可靠。此外,这些网络恶意数据包在传播过程中要使用网络资源,从而造成网络带宽严重拥塞,降低了企业的生产效率。 现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击,因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击,或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括: ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%,某些客户机或服务器没有安 装防毒软件 ●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动(笔记本)用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接(安全或不安全)将病毒带 到公司部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制
因此最新的网络蠕虫传播已经不再需要借助文件系统了,传统的防病毒措施已经不能适应新的网络安全需求,再加上防病毒及安全策略的统一强制实施比较困难,当病毒进入到企业部会发生: ●部的网络流量突然暴长,瞬间到达锋值 ●没有任何办法将这种网络流量降下来,除非找到染毒的机器并把 所有感染病毒的系统都关掉,或将他们从网络中隔离开(把网线 拔掉) ●为了避免病毒传播到外网,只有将服务器或者网关服务器停机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统(采 用病毒专杀工具),将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的 话,第二波病毒爆发很有可能会卷土重来 上述问题造成目前IT 管理人员非常被动与非常没有安全感,如何能够有一个让IT 管理人员放心、安心的网络安全解决方案已经成为越来越重要的课题。针对这些目前传统防病毒产品无法很好解决的问题,趋势科技推出了业界唯一一款在网络层阻挡网络病毒的硬件产品 - 趋势科技?网络病毒墙?(Trend Micro? VirusWall?) - 这是一款病毒爆发安全防护设备,采用部署在网络层的趋势科技网络病毒墙,可以阻挡网络病毒(如互联网蠕虫),在病毒爆发前和爆发期间识别高危险性的安全漏洞,在病毒进入网络时隔离和清理包括未受保护的设备在的感染源。网络病毒墙能够在整个企业组织围强制实施统一的防毒安全策略,精确地定位和远程自动或本地清除网络中的感染源,帮助 IT 管理人员降低安全风险,最大限度地缩短网络停机时间,减轻病毒爆发带来的管理负担。 II趋势科技网络病毒墙功能特色 A.NVW的价值所在
智慧社区+物联网解决方案 智慧城市概念的提出对于社区建设来说具有重大的意义,它推动了智慧社区建设的进程,并给予了建设工程提供基础。而同时在物联网的加持下,智慧社区的建设可谓是更“智能”。下面,我们就通过智慧社区+物联网解决方案,一起来探究一下吧! 一、行业背景 社区作为城市的基本单元,是政府服务具体体现的代表。可以说智慧地球由智慧城市组成,但智慧城市从智慧社区起步。国家统计局公布数据显示,2013年我国城镇化率达到了57.35%,我国城镇化进程不断深入,党的十八大报告明确提出将工业化、信息化、城镇化和农业现代化作为全面建设小康社会的抓手,并强调以推进城镇化为重点,着力解决制约经济持续健康发展的重大结构性问题,这充分显示了城镇化的重要地位。2014年5月4日,住房和城乡建设部办公厅关于印发《智慧社区建设指南(试行)》的通知,主要内容包括智慧社区的指导思想和发展目标、评价指标体系、总体架构与支撑平台、基础设施与建筑环境、社区治理与公共服务、小区管理服务、便民服务、主题社区、建设运营模式、保障体系建设等。但在加快城镇化的过程中也存在一些挑战,如老龄化现象严重、社区公共服务能力不足、文化娱乐设施无法满足居民日益增长的需求等。而智慧社区建设能够很好地解决上述问题,给我国的城镇化建设添砖加瓦,进一步提升城镇化的质量。 二、方案概述 “智慧社区”借助互联网、物联网,涉及到智能楼宇、智能家居、路网监控、家庭护理、个人健康与数字生活等诸多领域,把握新一轮科技创新革命和信息产业浪潮的重大机遇,充分发挥信息通信(ICT)产业发达、RFID相关技术领先、电信业务及信息化基础设施优良等优势,通过建设ICT基础设施、认证、安全等平台和示范工程,加快产业关键技术攻关,构建社区发展的智慧环境,形成基于海量信息和智能过滤处理的新的生活、产业发展、社会管理等模式,面向未来构建全新的社区形态,实现“以智慧政务提高办事效率,以智慧民生改善人民生活,以智慧家庭打造智能生活,以智慧小区提升社区品质”的目标。 三、方案架构 该“智慧社区”解决方案,充分借助物联网、传感网,网络通讯技术融入社区生活的各个环节当中,实现从家庭无线宽带覆盖、家居安防、家居智能、家庭娱乐、到小区智能化为一体的理想生活。以信息化为驱动,推动社区生态转型,旨在通过先进适用技术应用和开发建设模式创新,综合运用信息科学和技术、消费方式、决策和管理方法,挖掘社区范围内外资源潜力,建设生态高效、信息发达、经济繁荣新型现代化社区。 “智慧社区”要建设一个中心、构建三个体系、服务三个对象。一个中心:智慧社区综合信息服务中心;三个体系:智慧社区服务体系、智慧小区管理体系、智慧家庭安防体系;三个对象:政府、企业、居民。
-------------前言-------------- 随着计算机技术的迅速发展,邮件网络信息的安全问题的解决十分的重要。邮件服务器关系着人们信息交流的隐私安全。目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个邮件服务器防止邮件攻击将不可缺少。所以如何保证邮件服务器的安全解决方案是当前的关键。 Internet是一个开放系统,透明度极高,既不安全,又不可信,使邮件服务器存在许多安全问题。如何保证数据传输的安全性和收发邮件人身份的真实性就成为推广解决的关键问题。邮件服务器的解决方案主要通过了解其性能、安全配置技巧、自身安全功能机等方面。采取一种预防、阻止邮件服务器出现坏的信息,从而使邮件服务器有一个简单实用的解决方案。
浅析邮件服务器安全解决方案 【摘要】该文论述和分析了邮件服务器自身安全功能及其安全方面的解决方案。在安全解决方面,重点介绍了Sendmail软件。通过对邮件服务器性能和安全配置技巧的论述,了解邮件服务器的工作原理。对动态中继验证控制,采取更先进的Sendmail进行处理。总结出邮件服务器的主要性能和安全解决方案,既保证数据安全,又提高邮件服务器的信息传输能力。从而使邮件服务器能够公平、合理、安全的在互联网上运行。 【关键词】邮件服务器;安全性;Sendmail软件;动态中继验证
智慧社区解决方案 智慧社区解决方案 赤峰供销一创网络科技有限公司 2014年7月16 日 目录 第一章智慧社区概述 (1) 政策背景 (1) 智慧社区简介 (1) 和传统社区的区别 (2) 指导思想和总体目标 (2) 智慧社区网络设计原则 (3) 智慧社区总体设计原则 (4) 第二章智慧社区建设内容 (6) 智能化社区管理 (6) 弱势群体保障. 6 社区区域定位. 7 家庭智能化管理.. 智能化社区物业.. 17 周界防范系统.. 17 闭路监控系统.. 18 楼宇对讲系统.. 19 家庭报警系统.. 20 电子巡更系统.. 21 门禁系统.. 22 楼宇自控系统.. 23 智能化社区服务.. 23 远程抄表系统. 23 停车场管理系统.. 24 紧急广播与背景音乐系统 (24) 社区“一卡通”管理系统 (25) 物业管理计算机系统 (25) 网络化基础设施 (26)
主干网网络技术.. 26 接入INTERNET的方式 (32) 综合布线系统 (34) 宽带网络接入系统.. 35 卫星电视接收系统. 36 综合化信息服务.. 36 社区门户网站.. 36 综合信息查询 (37) 地理信息查询 (39) 社区电子商务. 40 第三章智慧社区历程与现状 (41) 国外智慧社区发展历程. 42 国内智慧社区发展历程.. 42 国外智慧社区发展现状.. 42 国内智慧社区典型案例.. 44 深圳红树西岸智慧社区. 44 上海文化花园智慧社区 (45) 大连星海人家智慧社区 (45) 第四章附录 (48) 物联网简介.. 48 RFID简介.. 51 智慧社区常用设备.. 55 家庭生活智能化设备.. 55 社区管理智能化设备 (56) 通信自动化设备 (56) 第一章智慧社区概述 政策背景 “十一五”期间,北京市推动“数字北京”建设,以“信息惠民”、“信息强政”、“信息兴业”三 大计划和“数字奥运”专项工程的顺利实施为标志,“数字北京”建设目标全面完成。 “十二五”期间,北京市从“数字北京”向“智慧北京”迈进,在《北京市“十二五”时期城市信
IT系统整体安全解决方案 一、信息系统安全的含义3 二、信息系统涉及的内容3 三、现有信息系统存在的突出问题 31、信息系统安全管理问题突出 32、缺乏信息化安全意识与对策 33、重安全技术,轻安全管理 34、系统管理意识淡薄3 四、信息系统安全技术及规划 31、网络安全技术及规划3(1)网络加密技术3(2)防火墙技术、内外网隔离、网络安全域的隔离3(3)网络地址转换技术3(4)操作系统安全内核技术3(5)身份验证技术3(6)网络防病毒技术3(7)网络安全检测技术3(8)安全审计与监控技术3(9)网络备份技术 32、信息安全技术及规划3(1)鉴别技术3(2)数据信息加密技术3(3)数据完整性鉴别技术3(4)防抵赖技术3(5)数据存储安全技术3(6)数据库安全技术3(7)信息内容审计技术3 五、信息系统安全管理 31、信息系统安全管理原则3(1)、多人负责原则3(2)、任期有限原则3(3)、职责分离原则 32、信息系统安全管理的工作内容3 一、信息系统安全的含义信息系统安全包括两方面的含义,一是信息安全,二是网络安全,涉及到的试信息化过程中被保护信息系统的整体的安全,是信息系统体系性安全的综合。具体来说,信息安全指的是信息的保密性、完整性和可用性的保持;网络安全主要从通信网络层面考虑,指的是使信息的传输和网络的运行能够得到安全的保障,内部和外部的非法攻击得到有效的防范和遏制。信息系统安全概括的讲,根据保护目标的要求和环境的状况,信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护,通信、访问等操作要得到有效保障和合理的控制,不受偶然的或者恶意攻击的原因而遭受到破坏、更改、泄漏,系统连续可靠正常的运行,网络服务不被中断。信息化安全的保障涉及网络上信息的保
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
XXX县人民医院整体安全解决方案 XXX县人民医院位于XXX市长江北岸的XXX县城,成立于一九五零年七月,是一所集临床医疗、教学、科研和预防保健于一体的综合性三级医院。2011年一所投资近2亿元,具有三级医院规模的新型现代化医院将矗立在XXX城区新区, 2011年新建成医院年门诊容量将达到60万人次,年出院人次将达到3万左右,业务收入预计达到1.6亿元,于2014年4月25日至5月20日实施医院整体搬迁。 XXX县人民医院已经完成全院网络覆盖,医院内外共用一张网络,互联网出口部署H3C F1000防火墙,内部核心交换机为两台(一台冷备),门诊、住院等科室每层楼都部署交换机,接入核心交换机,服务器区通过两台交换机接入核心交换机。 网络示意图如下: 当前,随着XXX县人民医院的业务深化推进,同时面临三级综合医院等级评审的需要,经过实地考查,在信息化安全部分发现以下一些问题:
?外部的接入点有用防火墙做访问控制,但没有针对入侵行为的防护及检测手段,不符合三 级评审中相关要求(6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3条)。 ?没有物理隔离内外网,通过交换机做的逻辑隔离。在运维不当或被人获取权限后,容易被 篡改,造成内网完全暴露在外。 ?网内未进行用户、IP、MAC绑定,没有网络准入控制手段,易被人私接入内网。不符合等保 相关规定。 ?未发现网络运行监控系统,不符合三级评审中相关要求(6.5.4.1加强信息系统的安全保障和患 者隐私保护C级第3条)。 ?与外部网络的接口缺少防病毒手段。(6.5.4.1加强信息系统的安全保障和患者隐私保护C级第3 条)。 ?缺少信息系统及机房核心设备的操作权限控制,缺少身份认证及权限控制手段。不符合三 级评审中相关要求(6.5.4.1加强信息系统的安全保障和患者隐私保护C级第4条)。 ?虽然布署了防统方系统,但病人数据的使用及隐私数据的调用缺少控制手段及事后追溯措 施。不符合三级评审中相关要求(6.5.4.1加强信息系统的安全保障和患者隐私保护C级第4条)。 ?缺少安全日志收集及分析手段,无法及时进行信息系统的安全预警及事后追溯。不符合三 级评审中相关要求(6.5.4.1加强信息系统的安全保障和患者隐私保护B级第1条)。 ?缺乏持续改进安全保障系统的手段及措施,不符合三级评审中相关要求(6.5.4.1加强信息 系统的安全保障和患者隐私保护B级第2条)。 ?新农合医保等服务器直接布署在核心服务器区域,易被人利用农合系统的漏洞绕过所有前 端防护手段,直接渗透进内网,并获取权限。 按二级等保的要求(地级三甲医院等保网监定级至少二级,一般为三级)及三级医院等级评审的要求对信息安全的要求,在不改变现有的网络拓扑结构的情况下,设计XXX县人民医院安全防护设计图如下:
云安全3.0 全面防护云平台 趋势科技服务器深度安全防护系统 TrendMicro Deep Security 7.5 提供动态数据中心服务器及应用程序的保护 越来越多的企业接入网络并以数据为中心,提供的应用连接着合作伙伴、员工、供货商或者客 户,而这些应用正面临着日益增加的网络攻击。这些有针对性的攻击比以前更加老练和复杂,对于数据安全的要求也日益变得更加严格。您的公司需要更坚固的安全防护,让您在不降低性能的情况下,使用最现代的虚拟化和云计算技术装备数据中心。 趋势科技Deep Security是一套保护服务器和应用程序的综合安全系统,可以降低系统资源消耗、简化管理及加强虚拟机的透明性和安全性,并且拥有业界独一无二的无代理安全防护,可进一步减少虚拟服务器的资源消耗,提升企业在虚拟环境的投资回报率。同时,Deep Security所采用的主动式深度威胁保护技术,可实时自动追踪最新动态威胁,能有效及优化配置安全策略,降低系统资源消耗和安全管理成本。 Deep Security是业界最先进的安全系统,提供了五大安全模块,还遵循了广泛的规范性要求,包括七个主要的PCI规范要求,网络应用层防火墙、IDS/IPS、文件完整性监控及网络划分。最新的主动性深度安全技术搭配完整的安全模组,广泛的操作平台、应用程序支持;趋势科技Deep Security是数据中心、服务器安全管理不可或缺的革命性单一同一管理系统。主要优势 最完整的安全软件 多层次安全防护 广泛的操作平台及服务应用支持 完整虚拟环境基础架构整合 灵活部署任何阶段IT环境 预防数据破坏及营运受阻 提供无论是实体、虚拟或云中的服务器防御 防堵在应用程序和操作系统上已知或未知的漏洞 防止网页应用程序遭受SQL注入及跨网站脚本攻击 阻挡针对企业系统的攻击 辨识可疑活动及行为,提供主动式和预防性的措施 协助企业遵循PCI及其它规范和准则满足7大PCI数据安全准则及一系列广泛的其他法规要求 提供详细的可审计报告,包含已被阻止的攻击和策略遵循状态 减少支持审计所需要的准备时间和投入实现经营成本的降低 透过服务器资源的合并,让虚拟化或云计算的节约更优化 透过安全事件自动管理机制,使管理更加简化 提供漏洞防护让安全编码优先化及弱点修补成本有效化 通过一个中心管理的多用途软件代理或虚拟设备,消除了部署多个软件客户端所产生的成本 架构 新!Deep Security Virtual Appliance (DSVA)在VMware vSphere在VMware vSphere虚拟机器上提供无代理的病毒查杀,IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护,透明化地加强安全策略--如果需要可以与Deep Security Agent协调合作提供完整性的监控及日志审计。 Deep Deep Security Agent(DSA) 部署于被保护的服务器或者虚拟机上的一个轻小的软件组件,能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及日志审计)。Deep Security Manager(DSM) 功能强大、集中式管理,使管理员能够创建安全配置并将它们应用于服务器,监控警报,对威胁采取预防措施,分发安全更新到各服务器,生成报告。新的事件标注功能简化了大批量的事件管理。 Security Center 我们的安全专家团队针对最新安全漏洞,通过快速开发和提供安全更新来帮助您防御最新的威胁。客户门户网站让您可以访问能部署到Deep Security Manager 的安全更新。 Smart Network Protection 集成趋势科技的云安全技术,实时提供最新的文件、邮件、Web信誉技术,无时差的最新动态威胁防护,免去病毒库的内存和部署需求。部署及整合 整合既有的IT及安全投资进行快速部署集成VMware vCenter的VMware和ESX服务器能够将组织与营运信息汇入Deep Security Manager中,这样详细的安全策略就能被应用到企业的VMware基础结构上。 与vShield Endpoint和VMsafe TM APIs的集成使得它能在ESX服务器上作为一个虚拟应用快速部署,并立即开始透明化地保护vSphere虚拟机。 透过多种整合选项,提供详细的服务器级别的安全事件至S I E M系统,包括ArcSight TM、Intellitactics、NetIQ、RSA Envision、Q1Labs、Loglogic和其它系统。 能与企业级的目录作整合,包括Microsoft Active Directory。 可配置的管理通讯方式,允许Manager或Agent发起通信请求,这样就能减少或消除一般情况下的中央管理系统所必须的对防火墙的修改。 可以透过标准的软件分发机制如Microsoft?SMS、Novel Zenworks和Altiris 轻松部署代理软件。
电子邮件系统安全解决方案 针对目前电子邮件系统存在的许多安全隐患,方标讯业提供一套领先的电子邮件安全解决方案。该方案包括了电子邮件反病毒,反垃圾,邮件加密传输,数字签名管理,负载均衡抗攻击,邮件中继网关等多种手段和措施,以满足用户对电子邮件安全的苛刻要求。 面向用户 电信级大规模电子邮局运营系统 电信级企业邮局托管运营系统 大中型企业的电子邮件系统 系统结构 下图是方标讯业电子邮件安全解决方案的系统工作原理图。主要工作区域在用户网络的边界防火墙和邮件系统之间,通过Foundir Email Security Suite 建立五层防护体系,防范来自外界的拒绝服务攻击。服务器上选装的Certificate Management,可以实现数字签名和内容加密管理,为用户提供个性化的电子邮件安全服务。通过邮件中继服务器Mail Relay的隔离和过滤处理,擦除邮件中继轨迹,避免内部网络结构外泄所引发的安全隐患。 功能特点 安全的电子邮件传输服务 方案中部署的Foundir SSL Gateway 是一个邮件通信信道加密网关,实现了用户端到服务器端甚至服务器端到服务器端的通信信道POP3、SMTP、Webmail、IMAP4会话过程的高强度加密防护,解决了邮件客户端以近乎明文方式登录系统带来的口令字泄密隐患。 稳定高效的电子邮件反防毒 在网关服务器上部署的Foundir VirusWall 是一套基于边界防病毒模式的电子邮件反防毒产品,内部采用了TCP代理、快速编解码以及多进程、多线程技术,减少了系统资源调度时间,提高了整体性能和效率,尤其在电信级的大用户量的电子邮件系统中, 性能表现优异。 强大的反垃圾邮件功能 在网关服务器与邮件服务器之间部署Foundir Spam Gateway,对邮件来源的发信人地址、姓名、邮件收信人、关键字进行多种条件组合的匹配过滤,智能识别潜在的垃圾邮件,并按照用户的需要给予适当的处理,尤其与硬件结合的功能对电信级的用户系统的性能有可靠的保障。 支持用户定制的邮件内容过滤 通过部署Foundir ContentFilter Gateway,可以实现电子邮件内容过滤,防止敏感内容和不安全的信息、文档、资料等透过电子邮件不恰当地传播。 简便易用的数字证书管理 在邮件服务器上部署的Cetitficate Management System提供电子邮件数字证书管理,支持所有主流的安全认证系统,例如VeriSign,InfoSec等。建立邮件内容加密、防窃听、反抵赖机制,是电子邮件应用于电子商务、电子政务的有力安全保证。 优秀的抗攻击性能 Foundir LoadBalance 邮件负载均衡网关,全面提高邮件系统的抗拒绝攻击能力,能够有效的抵制外来网络层攻击。通过审定超过TCP连接阀值,分别限制的POP3、POPs、SMTP、SMTPs、HTTP、HTTPs、IMAP4、IMAPs等访问,防止半连接方式的拒绝服务攻击。 方案特点
趋势科技网络病毒墙( NVW ) 解决方案 I概述 如今的网络恶意攻击,诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络恶意攻击是危险的,因为它们在网络层传播,无法通过传统的病毒码文件方法来检测,且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序,但大多数公司通常都无法真正应用这些补丁,因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁,有时还会怀疑厂商提供的补丁是否可靠。此外,这些网络恶意数据包在传播过程中要使用网络资源,从而造成网络带宽严重拥塞,降低了企业的生产效率。 现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击,因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助IT 管理人员防御或遏制攻击,或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括: ●没有足够的信息来确定相关的漏洞打补丁的优先顺序 ●无法准确、快速的获得最新的病毒预警 ●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 ●防毒产品的部署率没有达到100%,某些客户机或服务器没有安 装防毒软件
●病毒代码库的更新速度永远赶不上病毒传播的速度 ●很难精确定位感染源并管理整个公司网络的远程清除工作 ●无法判断移动(笔记本)用户从外部把病毒带到办公室里来 ●远程办公用户通过与公司建立的连接(安全或不安全)将病毒带 到公司内部 ●无法对不符合安全策略要求和已感染设备的网络访问进行控制 因此最新的网络蠕虫传播已经不再需要借助文件系统了,传统的防病毒措施已经不能适应新的网络安全需求,再加上防病毒及安全策略的统一强制实施比较困难,当病毒进入到企业内部会发生: ●内部的网络流量突然暴长,瞬间到达锋值 ●没有任何办法将这种网络流量降下来,除非找到染毒的机器并把 所有感染病毒的系统都关掉,或将他们从网络中隔离开(把网线 拔掉) ●为了避免病毒传播到外网,只有将邮件服务器或者网关服务器停 机 ●直到了解了病毒的具体信息才知道该采取什么措施 ●费大量人力去手动一台一台的去清除已经感染了病毒的系统(采 用病毒专杀工具),将病毒/蠕虫程序或木马程序清除出系统 ●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的 话,第二波病毒爆发很有可能会卷土重来
《安全系统整体解决方案设计》
第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。
企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
视频监控网络整体安全解决方案 深信服科技股份有限公司 2018年6月
目录 第1章项目背景 (3) 第2章视频监控网络安全现状描述 (3) 第3章视频监控网络安全需求 (5) 3.1 访问控制要求 (5) 3.2 入侵防范 (6) 3.3 病毒防护 (6) 3.4 补丁管理 (7) 3.5 脆弱性检测 (7) 3.6 安全审计 (7) 3.7 边界接入安全 (8) 3.8 终端安全管理 (8) 3.9 全网安全风险感知 (9) 第4章整体安全解决方案 (9) 4.1 安全体系架构 (9) 4.2 设计原则 (10) 4.2.1 合规性设计原则 (10) 4.2.2 安全技术体系设计 (12) 4.3 整体安全方案拓扑 (14) 4.3.1 视频监控网络与边界安全方案设计(横向) (16) 4.3.2 视频监控网络边界安全方案设计(纵向) (20) 4.3.3 系统应用区安全方案设计 (30) 第5章方案价值 (34) 5.1 部署简单 (34) 5.2 使用方便 (34) 5.3 贴近用户 (34) 5.4 功能强大 (34) 第6章设备清单 (35)
第1章项目背景 近年来,随着“平安城市”、“数字城市”、“智慧城市”等城市信息化概念的提出,国家、政府大力推进了视频监控系统的建设,逐渐形成了覆盖整个城市和各地区的视频监控网络,实现数字化监测与信息共享、治安重点区域实时监控,全面提升对突发案件、群体性事件和重大保卫活动的监控力度和响应能力。可在第一时间掌握重要视频监控区域的异常情况,达到实时监控管理、主动报警、威慑诸如犯罪及为事后取证提供依据等监控目的。视频监控网络设备的种类与数量不断上升,在治安、交通、智能楼宇等领域发挥日益重要的作用, 大数据分析、警用地理、车辆识别等核心应用正在向视频监控网络迁移,视频监控网络事实上已成为一张承载海量终端与海量数据的物联网。 视频监控网络设备数量巨大、物理部署范围广泛,且前端设备大都部署在道路、街区或其它隐蔽场所等极易被黑客利用,进而侵入到整个网络,导致核心业务系统无法正常运行、大量保密信息被窃取,因此建立完善的设备安全准入和设备监管机制成为了安全体系建设的重要课题。 第2章视频监控网络安全现状描述 视频摄像头作为视频监控网络重要组成部分,基数大且部署分散,品牌多样,目前无技术工具自动统计。另外对于大型机构一